Показано с 1 по 13 из 13.

Wigon.S Нодом не лечится. (заявка № 24089)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    12
    Вес репутации
    35

    Exclamation Wigon.S Нодом не лечится.

    Добрый день! У нас в конторе локалка на 6 компов, на 3х из них завелась вышеозначенная бяка. Как лечить - не знаю. И не знаю как она расползлась по компам в сети и как её расползание пресечь.
    Остальные вири нод32 вроде как почистил.
    Помогите, пожалуйста!
    Вот файлы с одного компъютера. Если поможет, после лечения этого прицеплю файлы с других.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Скачать IceSword
    http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
    . Запустить, выбрать File, откроется окно, в нем найти:
    C:\WINDOWS\system32\WinNt32.dll
    C:\WINDOWS\System32\drivers\tcpsr.sys
    C:\WINDOWS\System32\Drivers\Dpp45.sys
    'C:\WINDOWS\System32\Drivers\Gao54.sys'
    'C:\WINDOWS\System32\Drivers\Ulw08.sys'
    'C:\WINDOWS\System32\Drivers\Vbp47.sys'
    На каждом нажать force delete, согласиться с предупреждением о перезагрузке.
    здесь есть инструкция как пользоваться:http://virusinfo.info/showthread.php?t=17228

    Далее не перезагружаясь,выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\BN7.tmp','');
     QuarantineFile('C:\temp\user18.msi','');
     BC_DeleteSvc('Vbp47');
     BC_DeleteSvc('Ulw08');
     BC_DeleteSvc('Gao54');
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Dpp45.sys','');
     BC_DeleteSvc('Dpp45');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Dpp45.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gao54.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ulw08.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vbp47.sys');
     DeleteFile('C:\temp\user18.msi');
     DeleteFile('C:\WINDOWS\Temp\BN7.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделать новые логи и загрузить карантин через красную ссылку вверху страницы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    12
    Вес репутации
    35
    Большое спасибо!
    Имеет ли смысл те же действиявыполнять на остальных компах с этим вирусом?

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Нет,не имеет,можете систему себе угробить,для каждого компа своя тема...

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от PavelA Посмотреть сообщение
    Скачать IceSword
    http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
    . Запустить, выбрать File, откроется окно, в нем найти:
    C:\WINDOWS\system32\WinNt32.dll
    C:\WINDOWS\System32\drivers\tcpsr.sys
    C:\WINDOWS\System32\Drivers\Dpp45.sys
    'C:\WINDOWS\System32\Drivers\Gao54.sys'
    'C:\WINDOWS\System32\Drivers\Ulw08.sys'
    'C:\WINDOWS\System32\Drivers\Vbp47.sys'
    На каждом нажать force delete, согласиться с предупреждением о перезагрузке.
    Нашёл только файл
    C:\WINDOWS\system32\WinNt32.dll
    Остальных не нашёл.
    Таке случайно в глаза бросился файлик
    C:\WINDOWS\system32\WinNt32.dl_
    С ним что делать?

    П.С. в логах нода вроде бы вируса более нет, т.к. до этого он после каждой перезагрузки определялся нодом.

    П.П.С. Расскажите, пожалуйста, в чём зловредность данного червя?
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Не удалился гаденыш, надо будет повторять операцию.
    В мече удалить C:\WINDOWS\system32\Drivers\Jla87.sys
    C:\WINDOWS\system32\WinNt32.dll
    C:\WINDOWS\system32\WinNt32.dl_

    После этого надо это все дело грохнуть через AVZ. Скрипт нарисую. Только пока не перегружай компьютер.

    Добавлено через 2 минуты

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     
     SetServiceStart('Jla87', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Jla87.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Jla87.sys');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dl_');
    BC_ImportDeletedList;
    BC_DeleteSvc('Jla87');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Добавлено через 1 минуту

    Этот малваре - из семейства Trojan-Downloader.Win32.Mutant
    Последний раз редактировалось PavelA; 06.06.2008 в 17:20. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от PavelA Посмотреть сообщение
    Не удалился гаденыш, надо будет повторять операцию.
    В мече удалить C:\WINDOWS\system32\Drivers\Jla87.sys
    C:\WINDOWS\system32\WinNt32.dll
    C:\WINDOWS\system32\WinNt32.dl_

    Этот малваре - из семейства Trojan-Downloader.Win32.Mutant
    Я после того как запостил, ещё раз проглядел и как раз это дело нашёл:
    C:\WINDOWS\system32\Drivers\Jla87.sys
    Вручную прибил. Сегодня окажусь в той конторе, гляну что к чему.

    А что такое малваре?

    PS C:\WINDOWS\system32\WinNt32.dll - файл только с вирем? Или файл ОС, заражённый вирем?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Малваре - malware - троян, вирус, дроппер и прочее.
    На сайте Олега Зайцева есть статья с классификацией.
    Можно на www.viruslist.com посмотреть описание, либо в гугле имя, которое я написал набрать.

    >>PS C:\WINDOWS\system32\WinNt32.dll - файл только с вирем? Или файл ОС, заражённый вирем?

    Это про зверек, а его драйвер защищает. Будем ждать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    12
    Вес репутации
    35
    Новые логи:
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Что-то у тебя никак не получается. Придется повторить: теперь надо удалить Fcq43.sys и C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    После каждого подтвердить, что будем делать перезагрузку.
    затем сразу скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     
     SetServiceStart('Jla87', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Jla87.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Fcq43.sys');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
    BC_ImportDeletedList;
    BC_DeleteSvc('Fcq43');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    12
    Вес репутации
    35
    новые логи:

    PS Файл winctrl нашёлся, winnt32 - нет. Также вместо Fcq43.sys при загрузке системы нод находит и удаляет похожий файл, но уже с другим названием.

    PPS Что вредоносного делает этот червяк?
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\??\c:\windows\system32\winlogon.exe','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windf32.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Jla87.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ikk54.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gll65.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gll65.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Gll65.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ikk54.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ikk54.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Jla87.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Jla87.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windf32.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Windf32.sys');
     BC_DeleteSVC('Windf32');
     BC_DeleteSVC('tcpsr');
     BC_DeleteSVC('Jla87');
     BC_DeleteSVC('Ikk54');
     BC_DeleteSVC('Gll65');
    DelWinlogonNotifyByFileName('WinCtrl32.dll');
    BC_ImportquarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24089 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
    Downloader - собственно, и предназначен для закачки и установки по ( в данном случае, вредоносного ) на вашу машину.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\temp\\user18.msi - not-a-virus:RiskTool.Win32.HideProc.g (DrWEB: archive: archive: Trojan.PWS.Qqpass.1305)
      2. c:\\windows\\temp\\bn7.tmp - Trojan.Win32.Pakes.cwv (DrWEB: BackDoor.Bulknet.194)


  • Уважаемый(ая) pl--alex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. лечится калечится
      От 2fast4U в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.12.2009, 17:44
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    3. WIGON, WIGON.S, WIGON.0 - проблема с ними
      От kurand в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:46
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00
    5. Не лечится Wigon.CK
      От Vlad_Bor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.07.2008, 11:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00151 seconds with 17 queries